Parce que les systèmes d’information sont de plus en plus complexes à gérer, beaucoup d’entreprises, en majorité des PMI, mais également des PME, se lancent dans l’externalisation de leur système d’information. L’objectif : s’affranchir de certaines contraintes de gestion, bénéficier d’une meilleure expertise, et limiter les ressources informatiques, qu’elles soient techniques ou humaines.
Parce que le système d’information est au cœur du fonctionnement de l’entreprise, dans le cadre d’une externalisation, il se doit d’être absolument sécurisé, et ceci afin d’assurer d’une part la protection de l’activité de l’entreprise, mais également ses obligations légales.
Dans cet article, nous nous attacherons à présenter comment externaliser son SI en toute sécurité, ainsi que les points essentiels de sécurité à contrôler, qu’il s’agisse de la gestion des applications ou de la gestion des données.
Un partenaire qui maîtrise ses processus de bout en bout
L’externalisation d’un SI va concerner d’une part l’externalisation de la gestion de ses applications et d’autre part, l’externalisation de la gestion de ces données.
Pour la gestion des applications, il s’agira d’externaliser le support fonctionnel de ses applications, la maintenance préventive (ou correctrice), ou encore la gestion des évolutions et des mises à jour. Du côté des données, on s’interrogera en particulier sur les risques liés à l’hébergement.
Une grande partie des applications est aujourd’hui composée d’applications « Web ».
L’installation et la maintenance de ces applications est ainsi effectuée totalement à distance, ce qui permet d’éviter le déplacement de techniciens et d’améliorer les temps de réponse.
Mais perdre la maîtrise de l’environnement de ses applications représente un risque pour le client. Son fournisseur peut, par exemple, faire appel lui aussi à un sous-traitant – même s’il reste légalement responsable de ses obligations vis-à-vis du client, et ce, en toutes circonstances. Il convient de porter une attention plus importante encore aux sous-traitants éventuels dans le cas d’une réponse groupée à un appel d’offres. Le risque ici est de rendre inopérante l’application du fait de la défaillance d’un sous-traitant, voire de briser la chaîne de sécurité sur les données manipulées.
Afin de sécuriser l’externalisation de la gestion de ses applications, le client aura ainsi tout intérêt à vérifier que tous les intervenants sur la chaîne d’externalisation sont en capacité technique, mais aussi financière de répondre à leurs obligations.
De plus, il s’agira de contrôler la rigueur avec laquelle la maintenance à distance est effectuée, car elle porte également en elle une part de risque. Elle peut en effet provoquer des problèmes de sécurité importants dans le cadre de connexion à des services sensibles dans des environnements mal sécurisés (mots de passe insuffisants) ou à partir de pays sensibles.
On prendra donc soin de s’assurer de niveau de qualité de la prestation sur ces points, afin de disposer d’une vision claire de la façon dont les applications sont gérées, et des éventuels acteurs ou partenaires entrants en jeu dans cette gestion, l’idéal étant de faire appel à un seul partenaire fiable, qui maîtrise ce processus de bout en bout.
Des lieux d’hébergement sécurisés
Dans la même optique, concernant l’hébergement de ses données ou de ses applications, il conviendra de s’assurer que l’ensemble des lieux d’hébergement sont sécurisés à la hauteur des exigences du client. Sont ici en jeu non seulement le site principal d’hébergement, mais également les sites de secours et les sites de sauvegarde.
Pouvoir répondre à ses obligations légales
De plus, le prestataire qui effectue l’externalisation du SI devra prendre en compte les obligations légales et réglementaires auxquelles l’entreprise cliente est soumise, notamment concernant l’usage des données privées ou à caractère personnel. Ces données, particulièrement sensibles, sont sous la responsabilité de l’entreprise qui doit en assurer la non divulgation. Les risques d’atteinte à la confidentialité des données doivent être mesurés avec une minutie toute particulière.
Par ailleurs, le prestataire doit pouvoir répondre à toute injonction de justice et être en capacité de toujours localiser ses données, notamment en termes de localisation géographique. En effet, le cadre juridique lié au transfert des données commence désormais à être mieux fixé en Europe : la Directive européenne 95/46/CE réglemente ainsi le transfert des données en dehors des frontières de l’Union Européenne. On évitera alors de laisser héberger hors de ses frontières toutes applications ou données manipulées par l’entreprise.
A ce titre, il s’agira également d’être prudent lors d’usage du Cloud Computing. Le Cloud Computing, aujourd’hui recommandé par les institutions européennes dans le cadre de l’amélioration de la compétitivité des entreprises et des organisations, comporte une part de risque, dans la mesure où les machines virtuelles mises à la disposition du client, les plateformes déployées et configurées à distance pour le développement d’applications et les applications utilisables à distance peuvent être localisées dans n’importe quel pays. Il s’agira donc de vérifier une fois encore que le prestataire fournisseur du service de Cloud Computing est totalement transparent concernant ces points précis.
Ainsi, nous venons de passer en revue les principaux points à prendre en compte concernant la sécurisation du SI dans le cadre d’une démarche d’externalisation : le prestataire fait-il appel à des sous-traitants, l’hébergement est-il sécurisé, où les données sont-elles hébergées, et le client est-il en mesure de respecter ses obligations légales ?
On notera l’importance de la transparence du prestataire concernant toutes les informations, administratives et techniques, liées à la prestation. Une fois tous ces points concernant la sécurité abordés, il ne vous reste plus qu’à sécuriser la prestation en vous assurant dans votre contrat du partage des responsabilités entre vous et le prestataire, mais également, de la présence de garanties de rétablissement en cas de panne ou encore, d’une possible réversibilité en cas de changement de prestataire par exemple.
Déessi vous propose l’externalisation de votre SI dans les règles de l’art : hébergement haute disponibilité, garanties de réversibilité, continuité de services, choix de la fréquence des sauvegardes etc. Pour en savoir plus, rendez-vous sur notre section Infogérance